tutaj - CERT Polska

RAPORT
Analiza domen rejestrowanych za pośrednictwem
zaktualizowana o statystyki z sinkhole’a Domain Silver, Inc.
23 sierpnia 2013
SPIS TREŚCI
Spis treści
1
Wprowadzenie
2
2 Rejestr, operator rejestru oraz rejestrator
2.1 Rogue registrar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Domain Silver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
3
4
3 Rozkład domen
4
4 Botnety
4.1 Citadel . . . . . . . . .
4.2 Dorkbot (NgrBot) . . .
4.3 Zeus Ice IX . . . . . . .
4.4 Andromeda (Gamarue)
4.5 RunForestRun . . . . .
4.6 Ransomware . . . . . .
5
5
6
6
6
7
7
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5 Infrastruktura proxy do C&C
8
6 Co dalej z domenami?
9
7
9
Statystyki
Skracanie linków za pomoca˛ bit.ly
Niektóre z linków umieszczonych w tym raporcie zostały skrócone za pomoca˛ serwisu bit.
ly w celu poprawienia czytelności. Aby zobaczyć pełen adres wystarczy na ich końcu dodać
znak plusa (+). Strona znajdujaca
˛ si˛e pod takim adresem zawiera informacje o skróconym
linku.
1
1
1
WPROWADZENIE
Wprowadzenie
Niniejszy dokument zawiera opis domen rejestrowanych za pośrednictwem firmy Domain
Silver, Inc. rejestratora działajacego
˛
w domenie .pl. Rejestrator ten, którego siedziba znajduje sie˛ na Seszelach, rozpoczał˛ swoje działanie w maju 2012 roku. Od tego czasu zespół
CERT Polska zaczał˛ obserwować duży wzrost liczby rejestrowanych złośliwych domen (w
tym do rozpowszechniania i zarzadzania
˛
złośliwym oprogramowaniem) oraz otrzymywać
wiele skarg z zewnatrz
˛ na domeny rejestrowane za pośrednictwem Domain Silver. W maju
2013 doszło do przej˛ecia i sinkhole’owania kilkudziesi˛eciu złośliwych domen przez CERT
Polska. Wiekszość
˛
domen .pl zawierajacych
˛
złośliwa˛ treść była˛ rejestrowana właśnie przez
Domain Silver. Po dalszych bezskutecznych próbach naprawienia tej sytuacji, NASK podjał˛
decyzje˛ o wypowiedzeniu umowy z partnerem. W kolejnych rozdziałach tego dokumentu
omawiamy do czego wykorzystywane były zarejestrowane za pośrednictwem Domain Silver
domeny (status na 9 lipca 2013), jakie rozpowszechniano złośliwe oprogramowanie i dlaczego
stanowiło to zagrożenie dla Internautów.
Najważniejsze ustalenia:
• Ze wszystkich domen zarejestrowanych – 641 domen (stan na 9 lipca 2013 plus domeny
wcześniej sinkhole’owane) - tylko jedna aktywna była nieszkodliwa (domainsilver.pl)
• 404 domeny były jednoznacznie szkodliwe, z czego 179 służyło jako serwery C&C.
• Domeny były wykorzystywane do zarzadzania
˛
i rozpowszechniania botnetów takich
jak Citadel, Dorkbot, ZeuS Ice IX, Andromeda, RunForestRun a także ransomware’u.
• Zidentyfikowaliśmy co najmniej 16 instancji wyżej wymienionych botnetów.
• 179 domen było używanych jako strony reklamujace
˛ farmaceutyki lub rekrutujace
˛ muły.
Adresy URL tych stron były rozpowszechniane za pomoca˛ kampanii spamowych.
Wszelkie zmiany danych domen zarejestrowanych przez Domain Silver sa˛ obecnie zablokowane, a partner nie ma już dost˛epu do rejestru domen. Domeny te maja˛ jako rejestratora
wpisana˛ nazw˛e vinask. Domeny te b˛eda˛ systematycznie przenoszone na serwery sinkhole’a
CERT Polska.
2
2
2
REJESTR, OPERATOR REJESTRU ORAZ REJESTRATOR
Rejestr, operator rejestru oraz rejestrator
Ze wzgledu
˛
na podobieństwo angielskich nazw, nast˛epujace
˛ trzy poj˛ecia bywaja˛ cz˛esto ze
soba˛ mylone: rejestr nazw domenowych (ang. registry), rejestrator nazw domenowych (ang.
registrar) oraz abonent nazwy domenowej (ang. registrant). Zakładajac,
˛ że rola abonenta
wydaje sie˛ oczywista, poniżej tłumaczymy role rejestru oraz rejestratora nazw domenowych
oraz różnice mi˛edzy tymi poj˛eciami.
Rejestr nazw domenowych (ang. domain name registry) to baza danych zawierajaca
˛ wszystkie nazwy zarejestrowane w jednej domenie internetowej (np. .pl), kojarzaca
˛ nazwy domenowe z danymi ich abonentów oraz z nazwami serwerów na które sa˛ delegowane. Rejestry
nazw domenowych moga˛ być tworzone na różnych poziomach hierarchii systemu DNS. I tak,
operatorem rejestru najwyższego poziomu (ang. root-level) jest IANA (czyli Internet Assigned
Numbers Authority), która z kolei deleguje zarzadzanie
˛
rejestrami kolejnych poziomów (ang.
top-level) innym organizacjom. Rola˛ operatora rejestru nazw domenowych, zwanego także
NIC (czyli Network Information Centre), jest utrzymywanie infrastruktury technicznej rejestru,
tworzenie polityk rejestracji domen, a przede wszystkim aktualizacja rejestru i baz danych
serwerów DNS. Naukowa i Akademicka Sieć Komputerowa jest operatorem rejestru nazw
domenowych dla domeny krajowej .pl.
Zarzadzanie
˛
czynnościa˛ rejestracji nazwy domenowej jest rola˛ podmiotu zwanego rejestratorem nazw domenowych (ang. domain name registrar). Jest to organizacja badź
˛ firma
komercyjna, współpracujaca
˛ z operatorami rejestrów i posiadajaca
˛ bezpośredni dost˛ep do
wprowadzania i modyfikacji danych przechowywanych w rejestrze. Rejestrator dysponuje
odpowiednim poziomem uprawnień, pozwalajacym
˛
mu na dokonywanie zapytań do rejestru
i zarzadzanie
˛
pula˛ nazw domenowych należacych
˛
do jego klientów. Operator rejestru może,
lecz nie musi sam pełnić rol˛e rejestratora. W wielu przypadkach powierza ja˛ firmom zewnetrznym,
˛
które zobowiazuj
˛ a˛ si˛e do stosowania polityk danego rejestru. W Polsce, NASK
ma podpisane umowy z ponad 190 partnerami pełniacymi
˛
role rejestratorów nazw domenowych. Wśród nich wiele jest firm zagranicznych. Abonent może samodzielnie wybierać
rejestratora, z usług którego b˛edzie korzystał przy rejestracji nazwy domenowej, a także
dokonywać przenoszenia nazwy pomi˛edzy rejestratorami.
2.1
Rogue registrar
Uprzywilejowana pozycja rejestratora, umożliwiajaca
˛ mu dokonywanie rejestracji nowych
nazw domenowych, delegowanie ich na serwery nazw, a także kontrol˛e nad danymi abonenta, może być niestety nadużywana. Z pozycji rejestratora łatwo można bowiem wprowadzać
do rejestru serie nowych nazw domenowych, wykorzystywanych nast˛epnie do phishingu, spamu czy zarzadzania
˛
złośliwym oprogramowaniem, jako dane abonentów podajac
˛ informacje
niezweryfikowane lub, w skrajnym przypadku, samodzielnie wygenerowane. W przypadku
wykrycia nadużycia, prośby o reakcj˛e trafiaja˛ zazwyczaj w pierwszej kolejności do rejestratora. Pozwala mu to na ignorowanie ich przez pewien czas, lub podejmowanie działań w taki
sposób, aby nie zagrażały całości infrastruktury – na przykład usuwanie problematycznych
nazw dopiero po stworzeniu nowych i odpowiedniej aktualizacji złośliwego oprogramowania.
3
3
ROZKŁAD DOMEN
To, co z zewnatrz
˛ wyglada
˛ na rażac
˛ a˛ nieskuteczność w zwalczaniu problemu, w połaczeniu
˛
z
posiadanym przez rejestratora portfelem domen, w którym zdecydowana˛ wi˛ekszość stanowia˛
nazwy wykorzystywane do nadużyć różnego rodzaju, pozwala domniemywać, że działania i
zaniedbania takiego rejestratora sa˛ w pełni świadome. Mówimy wtedy o tak zwanym rogue registrar, którym w skrajnym przypadku może być firma założona wyłacznie
˛
w celu ułatwienia
przest˛epcom dost˛epu do rejestru domen.
2.2
Domain Silver
Domain Silver jest jednym z rejestratorów, który swoja˛ działalność rozpoczał˛ w maju 2012
roku. Firma jest zarejestrowana pod nast˛epujacym
˛
adresem:
Domain Silver Inc.
1st Floor, Sham-Peng-Tong
Plaza Building, Victoria, Mahe
Seychelles
e-mail: [email protected]
tel.: +1.3236524343
Pierwsze skargi na działalność tego rejestratora CERT Polska otrzymał w drugiej połowie
2012 roku. Skargi te dotyczyły obecności serwerów C&C oraz stron, do których prowadziły
linki z kampanii spamowych pod domenami zarejestrowanymi przez Domain Silver. Do 29
lipca 2013 za pomoca˛ Domain Silver było zarejestrowanych 2926 domen.
3
Rozkład domen
Poniższa tabela prezentuje statystyki dotyczace
˛ szkodliwych domen, których registrarem był
Domain Silver i które miały status zarejestrowanych 9 lipca 2013 roku, wliczajac
˛ w to domeny,
które były już wcześniej przez nas sinkholowane. Wszystkich domen .pl, które miały status
zarejestrowanych w Domain Silver 9 lipca 2013 roku było 641.
Rodzaj zawartości
Serwery C&C1
Produkty farmakologiczne, rekrutacja mułów lub spam2
Złośliwe oprogramowanie3
Domeny umieszczone na blacklistach4
Erotyka dzieci˛ecia
Liczba
179
179
20
17
5
Udział procentowy
27.9%
27.9%
3.1%
2.7%
0.8%
Tabela 1: Rozkład szkodliwych domen
1
W tym serwery nazw, na których znajdowały sie˛ rekordy DNS serwerów C&C.
W tym serwery nazw, na których znajdowały sie˛ rekordy DNS tych stron.
3
W tym serwery nazw, na których znajdowały sie˛ rekordy DNS tych stron.
4
Wyłaczaj
˛
ac
˛ domeny zaklasyfikowane do innych kategorii.
2
4
4
BOTNETY
Spośród wszystkich domen 63% (404 domeny) stanowiły domeny zdecydowanie szkodliwe dla użytkowników. Z pozostałych domen tylko jedna (domainsilver.pl) zawierała,
nieszkodliwa,˛ treść, a reszta nie zawierała żadnej treści. 150 domen z pozostałej grupy zostało zarejestrowanych tego samego dnia – 18 marca 2013, w ciagu
˛ 15 minut.
Oprócz tego, wśród domen zarejestrowanych wcześniej, byliśmy w stanie zidentyfikować
35 domen używanych przez serwery C&C oraz 12 wykorzystywanych w kampanii spamowej
produktów farmakologicznych. Pomi˛edzy 6 a 10 lipca 2013 roku, w ramach Domain Name
Tasting, czyli możliwości czternastodniowego testowania nazwy domeny, zarejestrowano w
Domain Silver 597 nazw domenowych, które służyły do promocji pigułek pomagajacych
˛
schudnać
˛ i były wykorzystywane w kampaniach spamowych używajacych
˛
botnetów.
4
Botnety
Poniżej przedstawiamy krótkie opisy rodzajów botnetów, które znajdowały si˛e na wspomnianych wyżej domenach. Domeny zarejestrowane w Domain Silver były wykorzystywane w co
najmniej 16 różnych, zidentyfikowanych przez nas, instancjach botnetów.
4.1
Citadel
Citadel jest złośliwym oprogramowaniem, które jest dystrybuowane jako crimeware kit –
zestaw aplikacji pozwalajacych
˛
na stworzenie własnej instancji botnetu. Rozwinał˛ si˛e on z
kodu innego bota – Zeusa, który to kod wyciekł w 2011 roku.
Rysunek 1: Schemat ataku man in the browser
5
4
BOTNETY
Citadel wykorzystywany był najcz˛eściej do wykradania danych logowania do instytucji
finansowych oraz ataków z wykorzystaniem inżynierii społecznej. Używał w tym celu ataków
typu man in the browser. Na rysunku 1 zaprezentowany jest schemat takiego typu ataku.
Wiecej
˛
informacji na temat botnetu Citadel można znaleźć w naszym raporcie na temat przejecia
˛
instancji plitfi: http://www.cert.pl/news/6900. Jest to jedna z instancji
znajdujacych
˛
si˛e na domenach zarejestrowanych w Domain Silver.
4.2
Dorkbot (NgrBot)
Dorkbot jest złośliwym oprogramowaniem posiadajacym
˛
duża˛ funkcjonalność. Jedna˛ z bardziej zaawansowanych jest instalacja rootkita w trybie użytkownika, dzi˛eki czemu może on
ukrywać swoja˛ obecność w systemie – zarówno obecność samego pliku ze złośliwym oprogramowaniem, jak i jego aktywność na liście procesów. Pozostałe możliwości oprogramowania
to miedzy
˛
innymi:
• infekowanie dysków USB,
• pobieranie i uruchamianie dodatkowego oprogramowania,
• wykradanie haseł z serwisów społecznościowych, hostingowych i innych,
• rozprzestrzenianie si˛e przez Skype, MSN, Facebook czy inne serwisy społecznościowe,
• przeprowadzanie ataków typu flood czy slowloris.
Wiecej
˛
informacji na temat Dorkbota oraz jego instancji, które wykorzystywały domeny
w Domain Silver można znaleźć w jednym z wpisów na naszym blogu pod adresem: http:
//www.cert.pl/news/6434.
4.3
Zeus Ice IX
Kolejna˛ po Citadelu gał˛ezia˛ złośliwego oprogramowania, powstałego na podstawie ujawnionego kodu Zeusa, jest Ice IX. Posiada on te same możliwości co Zeus, czyli potrafi zarówno
przechwytywać hasła użytkowników zainfekowanych systemów jak i przeprowadzać ataki
man-in-the-middle takie jak ten przedstawiony powyżej.
Wiecej
˛
na temat tej odmiany Zeusa można znaleźć na blogu RSA pod adresem http:
//bit.ly/11WI8u7.
4.4
Andromeda (Gamarue)
Andromeda jest modularnym botem stworzonym w taki sposób, by umożliwić łatwe dodawanie do niego nowych funkcji. System sprzedaży tego botnetu opiera si˛e na udost˛epnianiu
kolejnych pluginów za dodatkowa˛ opłata.˛ Pluginy te umożliwiaja˛ mi˛edzy innymi nast˛epujace
˛
operacje:
• pobranie i uruchomienie dodatkowego oprogramowania,
6
4
BOTNETY
• wykradanie danych logowania z różnych serwisów,
• tworzenie z komputera ofiary serwera pośredniczacego
˛
(proxy).
Bot ten zawiera również duża˛ liczb˛e technik chroniacych
˛
go zarówno przed analiza˛ dynamiczna˛ z wykorzystaniem oprogramowania VirtualBox czy VMWare, jak i przed debugowaniem. Sposobem rozprzestrzeniania si˛e botnetu były wiadomości e-mail sugerujace,
˛
iż
załaczony
˛
do niej plik to bilet elektroniczny na podróż samolotem. Drugim sposobem było
użycie popularnego exploit kita, czyli zbioru aplikacji wykorzystujacych
˛
luki we wtyczkach
przegladarki
˛
internetowej lub w samej przegladarce.
˛
Wiecej
˛
informacji na temat tego złośliwego oprogramowania i kampanii zwiazanej
˛
z Domain Silver można znaleźć na blogu firmy Trend Micro: http://bit.ly/SW2dr3.
4.5
RunForestRun
RunForestRun jest złośliwym oprogramowaniem wycelowanym w serwery WWW. Do każdego pliku HTML na serwerze dodawany był złośliwy JavaScript tworzacy
˛ ramk˛e (iframe)
w obecnej stronie. Ramka ta kierowała użytkownika na adres zawierajacy
˛ szkodliwy kod
(exploit kit lub reklamy). RunForestRun ma zaimplementowany algorytm generowania nazw
domenowych (z ang. Domain Generation Algorithm, w skrócie DGA). Rozwiazanie
˛
to jest
rzadko spotykane wśród złośliwego oprogramowania przeznaczonego na serwery WWW. W
przypadku jednej z wersji RunForestRun, oprogramowanie nawet kilkukrotnie w ciagu
˛ dnia
generowało nowa˛ nazw˛e domenowa˛ z końcówka˛ .waw.pl powodujac,
˛ iż blokowanie domen
z którymi oprogramowanie si˛e łaczyło
˛
nie rozwiazywało
˛
problemu. Zablokowanie domeny
wykorzystywanej danego dnia nie spowoduje odci˛ecia komunikacji z serwerem C&C, gdyż
dnia kolejnego wykorzystywana jest inna domena.
Wiecej
˛
informacji na temat tego złośliwego oprogramowania i DGA tworzacego
˛
domeny
w .waw.pl, które nast˛epnie były rejestrowane poprzez Domain Silver można przeczytać na
blogu Unmask Parasites: http://bit.ly/OLynll.
4.6
Ransomware
Na 16 domenach założonych po 9 lipca 2013 znajdował si˛e serwer C&C oprogramowania
typu ransomware. Jest to rodzaj złośliwego oprogramowania blokujacy
˛ komputer użytkownika
aż do otrzymania okupu. Oprogramowanie to, po zainfekowaniu komputera, łaczyło
˛
si˛e
z domena˛ zarejestrowana˛ poprzez Domain Silver i pobierało z niej plik DLL, w którym
znajdowała si˛e miedzy innymi strona, która była wyświetlana. Znajdujaca
˛ si˛e na niej treść
sugerowała, że komputer został zablokowany ze wzgl˛edu na złamanie przepisów i użytkownik
musi zapłacić grzywn˛e w wysokości 500 złotych. Strona była dostosowywana do ustawień
jezykowych
˛
użytkownika, tak, aby wzbudzić jego wi˛eksze zaufanie. Na rysunku 2 znajduje
sie˛ zrzut ekranu z zablokowanego komputera.
7
5
INFRASTRUKTURA PROXY DO C&C
Rysunek 2: Polska wersja strony informujacej
˛ o blokadzie komputera
Wiecej
˛
informacji na temat tego typu oprogramowania można znaleźć na naszym blogu:
http://www.cert.pl/news/5483.
5
Infrastruktura proxy do C&C
Niektóre z wyżej wymienionych botnetów, w celu lepszej ochrony adresu prawdziwego serwera C&C, wykorzystywały serwery proxy. Serwery używane w tym celu zostały najprawdopodobniej przej˛ete w wyniku włamania.
Za każdym razem gdy zainfekowana maszyna próbuje połaczyć
˛
si˛e z wpisana˛ w jej konfiguracji domena˛ (np. example.com) musi wybrać jeden z adresów IP z nia˛ zwiazanych.
˛
Najcześciej
˛
jest to pierwszy adres IP na liście odpowiedzi serwera DNS. Nast˛epnie przesyła
pod ten adres IP zgromadzone dane oraz pobiera od niego instrukcje. Ten adres odpowiada
jednemu z serwerów oznaczonych na rysunku 3 jako Proxy Poziom 1. Jest to maszyna, z która˛
bezpośrednio komunikuje si˛e komputer ofiary.
8
7
STATYSTYKI
Rysunek 3: Architektura proxy do C&C
Na każdym z serwerów poziomu 1 znajduje si˛e oprogramowanie, które przekierowuje
wszystkie żadania
˛
HTTP do jednego z serwerów oznaczonych jako Proxy Poziom 2. Analogicznie, każda z tych maszyn przekierowuje żadania
˛
do właściwego serwera C&C, który je
przetwarza i ta˛ sama˛ droga˛ przesyła odpowiedź.
6
Co dalej z domenami?
NASK 30 lipca 2013 roku wypowiedział umow˛e z partnerem Domain Silver, Inc. Wszystkie
domeny, które zostały zarejestrowane przez Domain Silver, Inc. znajduja˛ si˛e obecnie w stanie
de facto zamrożenia. Oznacza to, że wszelkie zmiany w Rejestrze dotyczace
˛ tych domen sa˛
niedozwolone. Domeny maja˛ wpisanego, jako registrara, nazw˛e vinask. Domeny te be˛ da˛
systematycznie przenoszone na serwery sinkhole’a CERT Polska.
7
Statystyki
Niektóre z domen zarejestrowanych przez Domain Silver zostały już wcześniej sinkhole’owane
przez CERT Polska. Poniższy rozdział zawiera statystyki, które udało nam si˛e zebrać w
wyniku tej akcji.
Wszystkie statystyki pochodza˛ z tego samego dnia – 23 lipca 2013. Zaobserwowaliśmy
101 831 unikalnych adresów IP, które nawiazały
˛
połaczenie
˛
z serwerem. Połaczenia
˛
pochodziły z 191 różnych krajów oraz 4 414 różnych systemów autonomicznych. Wśród nich
umieściliśmy również botnet plitfi, o przeje˛ ciu którego informowaliśmy we wcześniejszym
raporcie, a którego serwery C&C korzystały z domen zarejestrowanych przez Domain Silver.
9
7
STATYSTYKI
Nazwa
wrela5
spros5
MIX2
—
imj/imr
D34
—
plitfi
h9/h14
rustin5
dasay5
mantuma5
ewq
stilos5
pinano5
CIT58
gr10
yds/dsg
a1
CIT29
Rodzaj
ZeuS ICE IX
ZeuS ICE IX
Citadel 1.3.5.1
Andromeda
Citadel 1.3.5.1
Citadel 1.3.5.1
Dorkbot
Citadel 1.3.5.1
Citadel 1.3.5.1
ZeuS ICE IX
ZeuS ICE IX
ZeuS ICE IX
Citadel 1.3.5.1
ZeuS ICE IX
ZeuS ICE IX
Citadel 1.3.5.1
Citadel 1.3.5.1
Citadel 1.3.5.1
Citadel 1.3.5.1
Citadel 1.3.5.1
Liczba domen
3
4
9
3
4
5
3
2
5
2
2
2
8
2
5
5
7
3
5
1
Liczba adresów IP
37 772
17 226
10 202
10 035
9 572
8 125
7 335
6 495
6 006
3 907
3 480
2 285
1 253
1 173
990
717
638
481
141
48
Udział
37.09%
16.91%
10.01%
9.85%
9.40%
7.98%
7.20%
6.38%
5.90%
3.84%
3.42%
2.24%
1.23%
1.15%
0.97%
0.70%
0.63%
0.47%
0.14%
0.05%
Tabela 2: Botnety stojace
˛ na domenach Domain Silver
Tabela 2 prezentuje wszystkie botnety, które wykorzystywały Domain Silver jako rejestratora domen serwerów C&C oraz były sinkhole’owane przez CERT Polska 23 lipca 2013 roku.
Niektóre nazwy botnetów zostały nadane im na podstawie domen, na których stały, podczas
gdy inne byliśmy w stanie uzyskać prawdziwe nazwy botnetów, które pojawiały si˛e w plikach
bota.
Bardzo cz˛esto właściciele botnetów zmieniaja˛ ich nazwy. W takich przypadkach podaliśmy obie nazwy oddzielone ukośnikiem. W przypadku Dorkbota oraz Andromedy tylko
jeden botnet tego typu był sinkhole’owany, wi˛ec nie było potrzeby aby go nazywać.
Powyższa tabela nie zawiera również informacji na temat domen, z którymi żaden z
botów nie nawiazał
˛ połaczenia.
˛
Sytuacja ta mogła nastapić
˛ np. gdy domena była wymieniona
w konfiguracji jako "zapasowa" i bot powinien si˛e z nia˛ łaczyć
˛
dopiero wtedy, gdy nie może
połaczyć
˛
sie˛ z żadna˛ inna˛ domena.˛
5
Nazwa stworzona na podstawie domeny.
10
7
STATYSTYKI
Kraj
Niemcy
Polska
Francja
Australia
Turcja
Indonezja
Arabia Saudyjska
Holandia
Włochy
Japonia
Liczba adresów IP
20 231
8 344
5 152
5 041
4 277
4 043
3 890
3 867
3 214
3 183
Udział
19.86%
8.19%
5.05%
4.95%
4.20%
3.97%
3.82%
3.79%
3.15%
3.12%
Tabela 3: 10 najcz˛eściej wyst˛epujacych
˛
krajów
Tabela 3 prezentuje 10 krajów, z których pochodziło najwi˛ecej połacze
˛ ń do domen sinkhole’owanych przez CERT Polska. Jedna trzecia wszystkich połacze
˛ ń pochodziła z trzech
krajów: Niemiec, Polski oraz Francji, przy czym prawie jedna piata
˛ połacze
˛ ń pochodziła z
Niemiec. Mapy 5 oraz 6 prezentuja˛ rozmieszczenie geograficzne adresów IP, które łaczyły
˛
sie˛ z sinkholem.
22000
20000
18000
16000
14000
12000
10000
8000
6000
4000
2000
DE
PL
FR
AU
TR
ID
SA
NL
IT
JP
Rysunek 4: 10 najcz˛eściej wyst˛epujacych
˛
krajów
11
7
STATYSTYKI
100
200
300
Rysunek 5: Rozkład geograficzny adresów IP
100 200 300 400 500 600 700 800 900 1000
Rysunek 6: Rozkład geograficzny adresów IP w Europie
12
7
STATYSTYKI
Nazwa AS
Deutsche Telekom AG
Vodafone D2 GmbH
Turk Telekomunikasyon Anonim Sirketi
Telekomunikacja Polska S.A.
Autonomus System Number for SaudiNet
Telstra Pty Ltd
France Telecom S.A.
PT Telekomunikasi Indonesia
Unitymedia NRW GmbH
Telecom Italia S.p.a.
Numer AS
AS3320
AS3209
AS9121
AS5617
AS25019
AS1221
AS3215
AS17974
AS20825
AS3269
Liczba adresów IP
8 780
3 326
3 001
2 849
2 414
2 146
2 017
1 852
1 590
1 370
Udział
8.62%
3.26%
2.94%
2.79%
2.37%
2.10%
1.98%
1.81%
1.56%
1.34%
Tabela 4: 10 najcz˛eściej wyst˛epujacych
˛
systemów autonomicznych
Tabela 4 prezentuje statystyki dotyczace
˛ podziału adresów IP łacz
˛ acych
˛
si˛e z serwerem sinkhole’a ze wzgl˛edu na system autonomiczny (w skrócie AS ), z którego pochodza.˛
Dane przedstawione w tabeli sa˛ spójne z prezentowanym wcześniej rozmieszczeniem geograficznym połacze
˛ ń. Natomiast tabela 5 zaw˛eża te statystyki do polskich systemów autonomicznych. Udział procentowy w drugiej tabeli odnosi si˛e tylko do Polski. Z 5 najcz˛eściej
wyst˛epujacych
˛
systemów autonomicznych pochodziło ponad 2/3 połacze
˛ ń.
Nazwa AS
Telekomunikacja Polska S.A.
Netia SA
Polska Telefonia Cyfrowa S.A.
P4 Sp. z o.o.
Polkomtel Sp. z o.o.
Numer AS
AS5617
AS12741
AS12912
AS39603
AS8374
Liczba adresów IP
2 849
892
711
468
440
Udział
34.14%
10.69%
8.52%
5.61%
5.27%
Tabela 5: 5 najcz˛eściej wyst˛epujacych
˛
systemów autonomicznych w Polsce
Tabela 6 zawiera list˛e wszystkich botnetów i dla każdego z nich przedstawia trzy kraje,
z których pochodziło najwi˛ecej połacze
˛ ń. Botnety sa˛ ułożone według ich wielkości (tak jak
w tabeli 2). W przypadku botnetów znajdujacych
˛
si˛e pod koniec tabeli prawdziwy rozkład
geograficzny mógł zostać przekłamany ze wzgl˛edu na systemy monitorujace.
˛ Botnety, do
których została zarejestrowana mała liczba połacze
˛ ń, przeważnie sa˛ porzucone i ich nieliczne
ofiary sa˛ kotrolowane przez badaczy, którzy chca˛ monitorować aktywność botnetu.
Z danych wynika, że botnety h9/h14, plitfi, imj/imr nie były geograficznie zróżnicowane – prawdopodobnie były wycelowane tylko w ofiary znajdujace
˛ si˛e w konkretnym kraju
badź
˛ krajach. Z kolei botnety spros, Andromeda czy rustin sa˛ rozmieszczone w sposób,
który wskazuje, że cyberprzest˛epcy atakowali wszystkie ofiary, bez stosowania profilowania
geograficznego.
13
7
STATYSTYKI
Nazwa
Kraj
Liczba adresów IP Udział
Turcja
3 464
9.17%
wrela
Polska
2 932
7.76%
Holandia
2 572
6.80%
Indonezja
1 523
8.84%
spros
Polska
1 358
7.88%
Włochy
1 188
6.89%
Arabia Saudyjska
3 602 35.30%
MIX2
Australia
2 215
21.71%
Zjednoczone Emiraty Arabskie
846
8.29%
Turcja
1 595 15.89%
Andromeda Niemcy
988
9.84%
Włochy
754
7.51%
Niemcy
5 357 55.96%
imj/imr
Francja
2 026 21.16%
Meksyk
336
3.51%
Niemcy
5 391 66.35%
D34
Francja
2 359 29.03%
Stany Zjednoczone
82
1.00%
Brazylia
1 470 20.04%
Dorkbot
Rosja
857 11.68%
Indonezja
755 10.29%
Polska
4 006 61.67%
plitfi
Japonia
1 240 19.09%
Szwecja
417
6.42%
Niemcy
5 549 92.39%
h9/h14
Brazylia
231
3.84%
Stany Zjednoczone
40
0.66%
Japonia
380
9.72%
rustin
Indonezja
371
9.49%
Polska
246
6.29%
Polska
336
9.65%
dasay
Australia
308
8.85%
Turcja
251
7.21%
Polska
430 18.81%
mantuma
Turcja
332 14.52%
Niemcy
267 11.68%
Holandia
397 31.68%
ewq
Niemcy
290 23.14%
Australia
161 12.84%
Tabela 6: 3 najcz˛eściej wyst˛epujace
˛ kraje, z których pochodziły połaczenia
˛
14
7
STATYSTYKI
Nazwa
Kraj
Liczba adresów IP Udział
Polska
103
8.78%
stilos
Australia
95
8.09%
Singapur
62
5.28%
Polska
300 30.30%
pinano
Australia
235 23.73%
Niemcy
127 12.82%
Dania
537 74.89%
CIT58
Norwegia
70
9.76%
Finlandia
22
3.06%
Niemcy
345 54.07%
gr10
Holandia
101 15.83%
Stany Zjednoczone
36
5.64%
Niemcy
236 49.06%
yds/dsg
Włochy
47
9.77%
Meksyk
38
7.90%
Niemcy
129 91.48%
al
Stany Zjednoczone
7
4.96%
Irlandia
2
1.41%
Finlandia
20 41.66%
CIT29
Dania
16 33.33%
Stany Zjednoczone
5 10.41%
Tabela 6: 3 najcz˛eściej wyst˛epujace
˛ kraje, z których pochodziły połaczenia
˛
15